确实需要帮助。
我需要允许其他人担任客户端计算机和服务器的管理员,但不担任域控制器的管理员。
我可以做到这一点,但无论我做什么,该用户始终是管理员组的一部分,并且可以登录到 DC、创建 OU 等。
脚步
- 创建域用户(TestAdmin)
- 创建组(LocalAdmins)
- 将用户添加到组(然后使组成为主要组并从域用户组中删除用户)
- 创建 GPO(gpoLocalAdmin)
- 编辑策略(Windows 设置->安全设置->受限组)新组 -> 选择 -> LocalAdmins
- 该组是(选择 -> 管理员)的成员
- 更新
此策略未部署到域控制器(不同的 OU),但 TestAdmin 可以登录和管理域。
如何修复此问题。
谢谢
答案1
首先,除非你有充分的理由,否则不要从中删除此用户Domain Users。此外,几乎没有理由更改主要组。如果我没记错的话,这个设置只适用于 POSIX 应用程序,与安全相关的任何内容均无任何关系。
除此之外,你的想法是正确的。将域用户添加到域组,然后使用组策略将域组添加到本地管理员组。你在第 5 步中犯了错误,其中您已撤销群组成员身份。
实际上,您刚刚要求 GP 执行的操作是“获取域组并将其添加到本地管理员组”。这听起来是正确的,但仔细看看,就会明白您要求组策略修改哪个元素 - 在这种情况下,您要求它通过将域组添加到本地组来修改域组,但这永远不会起作用。由于组策略始终在客户端系统上处理,因此您永远无法修改域帐户,您只能修改本地帐户。
为了使其正常工作,你需要请求组策略通过将域组添加到本地组来修改本地组为此,请打开“受限组”,然后首先选择本地系统上的管理员组(不用担心,它将适用于任何系统):
然后,通过将域组添加为成员来修改它:
